安全是一场竞赛，与扳手腕比赛类似。然而，尽管安全是一场永远不会结束的旅行，你需要了解并充分利用沿途的检查站，这些能够帮助你改善企业的整体安全状态，并且能够在任何时间点评估你的安全状态。在评估安全性后，你可以作出一些调整来改变安全配置。

    1、优化物理安全

安全行业有句老话：如果坏人可以获取计算机的物理控制，那就完蛋了。一旦他们拿到物理控制权，他们就可以使用各种工具来访问磁盘甚至是内存的数据，当然，他们还可以访问“p0wnd”计算机移出和移入的任何信息。所以说，在考虑部署其他安全方法之前，物理安全是首先要考虑的。

   物理安全包括：

    （1） 进入电脑机房的密钥、智能卡或者生物识别门控技术

    （2） 对电脑机房进出情况的视频记录

    （3） 对电脑机房进出情况的日志记录和报告

    （4） 在电脑机房的入口和出口部署保安或者其他观察员

    在防止攻击者攻入你的系统方面，物理安全能发挥很大作用。但是物理安全只是第一步，我们都非常清楚，如果计算机连接到网络，坏人不需要物理访问就能进行破坏活动。

    2、使用基于主机的防火墙

    网络防火墙似乎受到极大关注，网络防火墙确实有优点，但是很多人似乎夸大了它的保护能力。事实上，现在市面上大多数防火墙只能提供很小的安全保障，原因之一在于大多数最严重的攻击往往来自于网络内部，所以网络防火墙阻止外部用户访问内部网资源的功能似乎没有多大作用。

    相比之下，基于主机的防火墙就能够保护企业资产阻止所有攻击者，无论时内部还是外部攻击者。此外，高级主机防火墙还可以配置为只允许计算机向用户提供的特定服务的入站连接。这些基于主机的防火墙（例如具有Advanced Security的Windows防火墙）甚至可以要求用户或者机器再网络层进行身份验证，这样的话，没有通过验证或者没有授权的用户就不能进入应用程序层，应用程序层时大多数漏洞存在的地方，也是所有数据存储的地方。

　　 3、将你的网络划分为安全区

    在涉及安全分区方面来看，前端web防火墙与数据库防火墙有所不同。托管公共可用文件的文件服务器与托管机密营销计划的SharePoint服务器也不相同。出战SMTP中继与反向web代理服务器不同，因为它们位于不同的安全区。

    你应该将你的资源划分到不同的安全区，然后在这些区之间创建物理或者逻辑分区。如果你想要使用物理分区，你应该要确保分配到不同区域的资源有防火墙或者其他网络访问控制设备来分隔。如果你想要使用逻辑安全分区，你可以利用IPsec和服务器以及域名隔离来创建安全区之间的虚拟分区。

    创建安全区可以让你集中安全力量，来保护最重要的资产。分配给较低安全区的不太重要的资产同样也受到了保护，但是你花在较低安全区的时间和精力相对要少得多，因为泄漏的成本比较高安全区的资产的成本要低得多。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。